W ubiegłym tygodniu Twitter obchodził 5 rocznicę swojego powstania. Mimo krótkiej historii serwis ten doświadczył wielu incydentów związanych z naruszeniem bezpieczeństwa.  więcej

Luki umożliwiające atak XSS (ang. cross-site scripting) nie należą do rzadkości, a im większy zasięg ma dana usługa, tym większych należy spodziewać się szkód. Mimo to nie ustrzegli się ich nawet najpoważniejsi gracze polskiego rynku, tacy jak Allegro, Onet czy Nasza Klasa. Ostatnio z tego typu dziurą rozprawili się także twórcy komunikatora Gadu-Gadu.  więcej

W niedzielę, 4 lipca, wielu fanów pewnej popowej gwiazdki o nazwisku Justin Bieber spotkała przykra niespodzianka: oglądając na youtube.com teledyski swojego idola, byli oni bombardowani wyskakującymi komunikatami o jego śmierci bądź przekierowywani na strony typu „tylko dla dorosłych”. Fakt ten dosyć szybko wzbudził zainteresowanie specjalistów z dziedziny bezpieczeństwa IT i okazało się, iż serwis YouTube padł ofiarą klasycznego ataku XSS (Cross-Site Scripting).  więcej

Luki pozwalające na atak XSS nie należą do rzadkości, w przypadku serwisów z dużą liczbą użytkowników oraz takich, które operują finansami, nie można ich jednak lekceważyć. Błąd na stronie mBanku, zgłoszony w tym tygodniu przez niezależnego specjalistę ds. bezpieczeństwa, umożliwiał przekierowanie użytkownika na sfałszowaną witrynę. Problem został już rozwiązany.  więcej

W wydaniu audio: Prezydent Sarkozy, największy antypirat Europy jest piratem - GIODO przyjrzy się serwisowi Blox.pl - Nasza-Klasa: następna luka typu XSS - Kolejny atak na klientów BZ WBK - Office 2010 nadejdzie z reklamami - Badanie bezpieczeństwa sieci Wi-Fi w polskich miastach - The Pirate Bay: farsa w Holandii

Można dojść do wniosku, że kodu pisanego przez programistów Naszej-Klasy, mającego poszerzać funkcjonalność serwisu, nikt nie sprawdza - napisał do redakcji Dziennika Internautów jeden z Czytelników, który znalazł błąd typu XSS w module pozwalającym na podarowanie Eurogąbek. Problem został już usunięty.  więcej

Jednym z najbardziej rozpowszechnionych ataków na aplikacje bazodanowe działające w sieci jest XSS. Przed umożliwiającymi je błędami nie ustrzegły się nawet największe portale. Czytelnik Dziennika Internautów znalazł takie luki na stronach TP i Orange, w tym drugim przypadku podatność można było wykorzystać do kradzieży cookies zalogowanego użytkownika.  więcej

W wydaniu audio: Nick też może być uznany za dane osobowe – Co grozi za atak XSS - Pobieraczek.pl: rejestracja dziecka jest ważna? - 3,5 mld zł Polacy są winni radiu i TVP – Szczecin live w oku kamer - Komisja Europejska zataiła fakty, by ukarać Intela? - Rosja zaatakowała Twittera i Facebooka?

Sprawdzenie, czy dana strona jest podatna na atak XSS, to stosunkowo łatwe zadanie. W większości przypadków sprowadza się do żmudnego wpisywania w pola formularzy odpowiednio przygotowanego kodu. Dziennik Internautów zapytał prawnika, czy podejmowanie takich działań może skutkować odpowiedzialnością cywilną lub karną. Okazało się, że tak.  więcej

W związku z napływem do Dziennika Internautów informacji o lukach na różnych stronach internetowych postanowiliśmy wypytać prawnika, czy można upubliczniać informacje o błędach bez poinformowania o nich właściciela serwisu, co grozi za wykorzystanie ich do własnych celów itp.  więcej

Błąd umożliwiający atak XSS, czyli cross-site scripting należy do najczęściej wykrywanych podatności w aplikacjach bazodanowych działających w sieci. Nie ustrzegły się go nawet największe serwisy. Iwo Graj powiadomił redakcję Dziennika Internautów o takiej właśnie luce odkrytej w serwisie Zumi, który należy do Grupy Onet.pl.  więcej

Czytelnik Dziennika Internautów, używający pseudonimu Alladyn, poinformował nas o błędzie XSS (cross-site scripting) w serwisie pocztowym Onet.pl. Istnienie luki potwierdził współpracujący z DI ekspert.  więcej

Oszukiwanie osób podejrzanych o naruszanie praw autorskich umożliwia system antypirackiej firmy BayTSP. Serwis TorrentFreak donosi, że dzięki niemu można podszyć się pod antypiracką firmę i np. wyłudzać odszkodowania.  więcej

W wydaniu audio: XSS w Nasza-Klasa.pl - Jak Polacy łamią CAPTCHA - UKE: Plany regulacji rynku pocztowego - Gadu-Gadu dla Androida - Strona IFPI zhackowana - Java i PHP dobra dla poszukujących pracy - Mobilne problemy z bezpieczeństwem - Netcamp #11

Poszerzanie funkcjonalności serwisów internetowych nie zawsze idzie w parze z dbałością o bezpieczeństwo użytkowników. Udowodnił to Czytelnik Dziennika Internautów, wykrywając na stronach Naszej-Klasy błąd typu XSS. Istnienie luki potwierdziło dwóch ekspertów ds. bezpieczeństwa. Nasza-Klasa zapewnia, że problem został rozwiązany.  więcej

Siedzisz przy komputerze a Twoja drukarka nagle zaczyna drukować... niechciane reklamy. Niemożliwe? A jednak! Spam z drukarki to coś bardzo prawdopodobnego w przyszłości - udowodnił specjalista Aaron Weaver.  więcej

W Australii, Niemczech i USA mają miejsce ataki phishingowe wprowadzające do oszustw online pewną nowość - twórcy złośliwego programu wykorzystują serwis Google Maps aby ustalić gdzie mogą mieszkać ich ofiary. Zdaniem ekspertów może to im ułatwić dokonywanie dalszych przestępstw.  więcej

Minął rok, od kiedy Interia została po raz pierwszy poinformowana przez Marka Futregę o lukach w systemie pocztowym portalu. Sprawa do tej pory pozostaje niezałatwiona, podczas gdy konkurencyjne portale potrafiły poradzić sobie z problemem nawet w jeden dzień. Tymczasem błędy w poczcie Interii umożliwiają przeprowadzenie naprawdę niebezpiecznych ataków, łącznie z kradzieżą danych - wszystko zależy tylko od wyobraźni atakującego.  więcej

W ostatnich dniach grudnia 60 użytkowników poczty Gmail poinformowało, że straciło wiadomości oraz listy kontaktów utrzymywane na skrzynkach oferowanych przez Google. Początek nowego roku także nie jest dla Gmail zbyt łaskawy - Google nie udało się całkowicie załatać błędu umożliwiającego kradzież listy kontaktowej z konta Gmail, poinformował Garett Rogers na blogu ZDNet.  więcej

Programując w języku php, ba, w jakimkolwiek języku, nigdy nie można lekceważyć niebezpieczeństwa, jakie niesie ze sobą brak "szczelności" aplikacji i podatność na szkodliwe działanie osób nam nieprzyjaznych. Aplikacje, skrypty internetowe, których kanałem wejściowym są formularze, muszą być zabezpieczone przed możliwością "wstrzyknięcia" złośliwego kodu. Jeżeli bezpieczeństwo Twoich aplikacji i skryptów php nie jest Ci obojętne, z pewnością zainteresuje Cię tematyka ataków XSS i CSRF, którym m.in. poświęcono najnowszy numer magazynu PHP Solutions.  więcej